Změnit datum |
Změnit popis |
úterý 19. července 2023 |
|
úterý 8. srpna 2023 |
|
úterý 9. srpna 2023 |
|
9. dubna 2024 |
|
úterý 16. dubna 2024 |
|
Shrnutí
Tento článek obsahuje pokyny pro novou třídu ohrožení zabezpečení mikroarchitekturálního a spekulativního spuštění na bázi procesoru založeného na procesorech a spekulativních chybách postranních kanálů, které ovlivňují mnoho moderních procesorů a operačních systémů. To zahrnuje Intel, AMD a ARM. Konkrétní podrobnosti o těchto chybách zabezpečení založených na procesorech najdete v následujících upozorněních na zabezpečení (ADL) a CVE (běžné ohrožení zabezpečení a ohrožení zabezpečení):
-
ADV180002 | Pokyny ke zmírnění ohrožení zabezpečení proti spekulativnímu spuštění postranním kanálem
-
ADV180012 | Pokyny Microsoftu k spekulativnímu obejití storu
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
-
ADV190013 | Pokyny Microsoftu ke zmírnění ohrožení zabezpečení mikroarchitekturálního vzorkování dat
-
ADV220002 | Pokyny Společnosti Microsoft k ohrožení zabezpečení zastaralých dat procesoru Intel MMIO
Důležité informace: Tento problém se týká také jiných operačních systémů, jako je Android, Chrome, iOS a macOS. Proto doporučujeme zákazníkům, aby od těchto dodavatelů vyhledali pokyny.
Vydali jsme několik aktualizací, které nám pomůžou tyto chyby zabezpečení zmírnit. Podnikli jsme také kroky k zabezpečení našich cloudových služeb. Další podrobnosti najdete v následujících částech.
Zatím jsme neobdrželi žádné informace, které by naznačovaly, že tato ohrožení zabezpečení byla použita k útoku na zákazníky. Na ochraně zákazníků úzce spolupracujeme s partnery v oboru, včetně výrobců čipů, výrobců OEM hardwaru a dodavatelů aplikací. K získání všech dostupných ochran se vyžaduje aktualizace firmwaru (mikrokódu) a softwaru. To zahrnuje mikrokód z OEM zařízení a v některých případech aktualizace antivirového softwaru.
Tento článek se zabývá následujícími ohroženími zabezpečení:
služba Windows Update bude také poskytovat zmírnění rizik pro Internet Explorer a Edge. Tato zmírnění rizik této třídy ohrožení zabezpečení budeme dál vylepšovat.
Další informace o této třídě ohrožení zabezpečení najdete v následujících tématech:
Chyby zabezpečení
14. května 2019 společnost Intel zveřejnila informace o nové podtřídě ohrožení zabezpečení spekulativního spuštění postranním kanálem označované jako microarchitectural Data Sampling. Tato ohrožení zabezpečení jsou řešena v následujících prostředích CVE:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Vzorkování dat ve vyrovnávací paměti mikroarchitetekturálního úložiště (MSBDS)
-
CVE-2018-12127 | Vzorkování dat vyrovnávací paměti mikroarchitetektury (MFBDS)
-
CVE-2018-12130 | Vzorkování dat portu mikroarchitetekturálního zatížení (MLPDS)
Důležité informace: Tyto problémy ovlivní jiné operační systémy, jako je Android, Chrome, iOS a MacOS. Doporučujeme vám vyhledat pokyny od těchto příslušných dodavatelů.
Vydali jsme aktualizace, které nám pomůžou tyto chyby zabezpečení zmírnit. K získání všech dostupných ochran se vyžaduje aktualizace firmwaru (mikrokódu) a softwaru. To může zahrnovat mikrokód z OEM zařízení. V některých případech bude mít instalace těchto aktualizací dopad na výkon. Zabezpečili jsme také naše cloudové služby. Důrazně doporučujeme nasadit tyto aktualizace.
Další informace o tomto problému najdete v následujících pokynech k zabezpečení a použijte doprovodné materiály založené na scénářích k určení akcí nezbytných ke zmírnění hrozby:
-
ADV190013 | Pokyny Microsoftu ke zmírnění ohrožení zabezpečení mikroarchitekturálního vzorkování dat
Poznámka: Před instalací aktualizací mikrokódu doporučujeme nainstalovat všechny nejnovější aktualizace z služba Windows Update.
6. srpna 2019 společnost Intel zveřejnila podrobnosti o ohrožení zabezpečení spočívající ve zpřístupnění informací jádra Windows. Tato chyba zabezpečení je variantou chyby zabezpečení spectre varianty 1 pro spekulativní spuštění postranním kanálem a byla jí přiřazena CVE-2019-1125.
9. července 2019 jsme vydali aktualizace zabezpečení pro operační systém Windows, které nám pomůžou tento problém zmírnit. Upozorňujeme, že jsme toto zmírnění rizik veřejně zdokumentovali až do koordinovaného zveřejnění informací od odvětví v úterý 6. srpna 2019.
Zákazníci, kteří služba Windows Update povolili a použili aktualizace zabezpečení vydané 9. července 2019, jsou chráněni automaticky. Není nutná žádná další konfigurace.
Poznámka: Tato chyba zabezpečení nevyžaduje aktualizaci mikrokódu od výrobce OEM.
Další informace o této chybě zabezpečení a příslušných aktualizacích najdete v Průvodci aktualizacemi zabezpečení společnosti Microsoft:
12. listopadu 2019 společnost Intel zveřejnila technické rady týkající se chyby zabezpečení asynchronního přerušení transakce intel TSX (Intel Transactional Synchronization Extensions), které je přiřazeno CVE-2019-11135. Vydali jsme aktualizace, které pomáhají zmírnit toto ohrožení zabezpečení. Ve výchozím nastavení je ochrana operačního systému povolená pro klientské edice operačního systému Windows.
14. června 2022 jsme publikovali ADV220002 | Pokyny microsoftu k chybám zabezpečení zastaralých dat procesoru Intel MMIO Chyby zabezpečení se přiřazují v následujících prostředích CVE:
-
CVE-2022-21123 | Čtení dat sdílené vyrovnávací paměti (SBDR)
-
CVE-2022-21125 | Vzorkování dat sdílené vyrovnávací paměti (SBDS)
-
CVE-2022-21127 | Zvláštní aktualizace vzorkování dat vyrovnávací paměti registru (aktualizace SRBDS)
Doporučené akce
K ochraně před těmito chybami zabezpečení byste měli provést následující akce:
-
Použijte všechny dostupné aktualizace operačního systému Windows, včetně měsíčních aktualizací zabezpečení Windows.
-
Použijte příslušnou aktualizaci firmwaru (mikrokódu), kterou poskytuje výrobce zařízení.
-
Vyhodnoťte rizika pro vaše prostředí na základě informací uvedených v tomto článku v informačních zpravodajích zabezpečení společnosti Microsoft ADV180002, ADV180012, ADV190013 a ADV220002.
-
Proveďte požadovanou akci pomocí informačních zpravodajů a informací o klíči registru, které jsou uvedeny v tomto článku.
Poznámka: Zákazníci zařízení Surface obdrží aktualizaci mikrokódu prostřednictvím aktualizace Windows. Seznam nejnovějších dostupných aktualizací firmwaru zařízení Surface (mikrokódu) najdete v tématu KB4073065.
Dne 12. července 2022 jsme publikovali CVE-2022-23825 | Záměna typu větve procesoru AMD, která popisuje, že aliasy v prediktoru větví můžou způsobit, že některé procesory AMD předpovídají nesprávný typ větve. Tento problém může potenciálně vést ke zpřístupnění informací.
V zájmu ochrany před tímto ohrožením zabezpečení doporučujeme nainstalovat aktualizace systému Windows, které jsou datovány k červenci 2022 nebo později, a pak provést akce podle požadavků CVE-2022-23825 a informace o klíči registru, které jsou uvedeny v tomto znalostní báze článku.
Další informace naleznete v bulletinu zabezpečení AMD-SB-1037 .
8. srpna 2023 jsme publikovali CVE-2023-20569 | Předpověď návratové adresy procesoru AMD (označovaná také jako Inception), která popisuje nový útok na spekulativní postranní kanál, který může vést ke spekulativnímu spuštění na adrese řízené útočníkem. Tento problém se týká některých procesorů AMD a může potenciálně vést ke zpřístupnění informací.
V zájmu ochrany před tímto ohrožením zabezpečení doporučujeme nainstalovat aktualizace systému Windows, které jsou datovány v srpnu 2023 nebo později, a pak provést akce podle požadavků cve-2023-20569 a informace o klíči registru, které jsou uvedeny v tomto článku znalostní báze.
Další informace naleznete v bulletinu zabezpečení AMD-SB-7005 .
9. dubna 2024 jsme publikovali CVE-2022-0001 | Intel Branch History Injection , která popisuje injektáž historie větví (BHI), což je specifická forma BTI v rámci režimu. K tomuto ohrožení zabezpečení dochází v případě, že útočník může manipulovat s historií větví před přechodem z režimu uživatele na režim správce (nebo z režimu VMX bez root nebo hosta na kořenový režim). Tato manipulace může způsobit, že prediktor nepřímé větve vybere konkrétní položku předpovědi pro nepřímou větev a přechodně se spustí miniaplikace pro zpřístupnění v předpovídaném cíli. To může být možné, protože příslušná historie větví může obsahovat větve převzaté v předchozích kontextech zabezpečení, a zejména v jiných režimech predikce.
Nastavení zmírnění rizik pro klienty s Windows
Informační zpravodaje zabezpečení (ADV) a CVR poskytují informace o riziku, které tato ohrožení zabezpečení představují, a o tom, jak vám pomůžou identifikovat výchozí stav zmírnění rizik pro klientské systémy Windows. Následující tabulka shrnuje požadavek na mikrokód procesoru a výchozí stav zmírnění rizik na klientech s Windows.
CVE |
Vyžaduje mikrokód procesoru nebo firmware? |
Výchozí stav zmírnění rizik |
---|---|---|
CVE-2017-5753 |
Ne |
Povoleno ve výchozím nastavení (bez možnosti zakázání) Další informace najdete v ADV180002 . |
CVE-2017-5715 |
Ano |
Ve výchozím nastavení povoleno. Uživatelům systémů založených na procesorech AMD by se měly zobrazit nejčastější dotazy č. 15 a uživatelům procesorů ARM by se měly zobrazit nejčastější dotazy č. 20 na ADV180002 pro další akci a tento článek znalostní báze pro nastavení příslušných klíčů registru. Poznámka Ve výchozím nastavení je funkce Retpoline povolená pro zařízení se systémem Windows 10 verze 1809 nebo novější, pokud je povolená možnost Spectre varianta 2 (CVE-2017-5715). Pokud chcete získat další informace o retpoline, postupujte podle pokynů v blogovém příspěvku o zmírnění rizik spectre varianty 2 pomocí Retpoline ve Windows . |
CVE-2017-5754 |
Ne |
Ve výchozím nastavení povoleno Další informace najdete v ADV180002 . |
CVE-2018-3639 |
Intel: Ano AMD: Ne ARM: Ano |
Intel a AMD: Ve výchozím nastavení je zakázáno. Další informace najdete v ADV180012 a v tomto článku znalostní báze najdete příslušná nastavení klíčů registru. ARM: Ve výchozím nastavení povoleno bez možnosti zakázání. |
CVE-2019-11091 |
Intel: Ano |
Ve výchozím nastavení povoleno. Další informace najdete v ADV190013 a v tomto článku najdete informace o příslušných nastaveních klíčů registru. |
CVE-2018-12126 |
Intel: Ano |
Ve výchozím nastavení povoleno. Další informace najdete v ADV190013 a v tomto článku najdete informace o příslušných nastaveních klíčů registru. |
CVE-2018-12127 |
Intel: Ano |
Ve výchozím nastavení povoleno. Další informace najdete v ADV190013 a v tomto článku najdete informace o příslušných nastaveních klíčů registru. |
CVE-2018-12130 |
Intel: Ano |
Ve výchozím nastavení povoleno. Další informace najdete v ADV190013 a v tomto článku najdete informace o příslušných nastaveních klíčů registru. |
CVE-2019-11135 |
Intel: Ano |
Ve výchozím nastavení povoleno. Další informace najdete v cve-2019-11135 a v tomto článku najdete příslušné nastavení klíčů registru. |
CVE-2022-21123 (součást ADV220002 MMIO) |
Intel: Ano |
Windows 10 verze 1809 a novější: Ve výchozím nastavení povoleno. Windows 10 verze 1607 a starší: Ve výchozím nastavení je zakázáno.Další informace najdete v cve-2022-21123 a v tomto článku najdete informace o příslušných nastaveních klíčů registru. |
CVE-2022-21125 (součást ADV220002 MMIO) |
Intel: Ano |
Windows 10 verze 1809 a novější: Ve výchozím nastavení povoleno. Windows 10 verze 1607 a starší: Ve výchozím nastavení je zakázáno.Další informace najdete v článku CVE-2022-21125 . |
CVE-2022-21127 (součást ADV220002 MMIO) |
Intel: Ano |
Windows 10 verze 1809 a novější: Ve výchozím nastavení povoleno. Windows 10 verze 1607 a starší: Ve výchozím nastavení je zakázáno.Další informace najdete v článku CVE-2022-21127 . |
CVE-2022-21166 (součást ADV220002 MMIO) |
Intel: Ano |
Windows 10 verze 1809 a novější: Ve výchozím nastavení povoleno. Windows 10 verze 1607 a starší: Ve výchozím nastavení je zakázáno.Další informace najdete v článku CVE-2022-21166 . |
CVE-2022-23825 (Nejasnosti typu větve procesoru AMD) |
AMD: Ne |
Další informace najdete v cve-2022-23825 a v tomto článku najdete informace o příslušných nastaveních klíčů registru. |
CVE-2023-20569 (Předpověď návratové adresy procesoru AMD) |
AMD: Ano |
Další informace najdete v cve-2023-20569 a v tomto článku najdete příslušné nastavení klíčů registru. |
Intel: Ne |
Ve výchozím nastavení je zakázáno. Další informace najdete v cve-2022-0001 a v tomto článku najdete informace o příslušných nastaveních klíčů registru. |
Poznámka: Ve výchozím nastavení může povolení zmírnění rizik, která jsou vypnutá, ovlivnit výkon zařízení. Skutečný efekt výkonu závisí na několika faktorech, například na konkrétní čipové sadě v zařízení a na spuštěných úlohách.
Nastavení registru
K povolení zmírnění rizik, která nejsou ve výchozím nastavení povolená, poskytujeme následující informace registru, jak je popsáno v článku Security Advisories (ADV) a CVE. Kromě toho poskytujeme nastavení klíče registru pro uživatele, kteří chtějí zakázat zmírnění rizik, pokud je to možné pro klienty s Windows.
Důležité informace: Tato část, metoda nebo úloha obsahuje kroky, které vám poví, jak upravit registr. Pokud však registr upravíte nesprávně, může dojít k vážným problémům. Proto se ujistěte, že tyto kroky postupujete pečlivě. Chcete-li přidat ochranu, zálohujte registr před jeho úpravou. Pak můžete registr obnovit, pokud dojde k problému. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:322756 Postup zálohování a obnovení registru v systému Windows
Důležité informace: Ve výchozím nastavení je na Windows 10 verze 1809 zařízeních povolená funkce Retpoline, pokud je povolená možnost Spectre, varianta 2 (CVE-2017-5715). Povolení funkce Retpoline v nejnovější verzi Windows 10 může zvýšit výkon na zařízeních s Windows 10 verze 1809 pro spectre variantu 2, zejména u starších procesorů.
Povolení výchozích zmírnění rizik pro CVE-2017-5715 (Spectre varianta 2) a CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. Zakázání zmírnění rizik pro CVE-2017-5715 (Spectre varianta 2) a CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. |
Poznámka: Hodnota 3 je přesná pro FeatureSettingsOverrideMask pro nastavení "povolit" i "zakázat". (Další podrobnosti o klíčích registru najdete v části Nejčastější dotazy.)
Zakázání zmírnění rizik pro CVE-2017-5715 (Spectre varianta 2): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. Povolení výchozích zmírnění rizik pro CVE-2017-5715 (Spectre varianta 2) a CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. |
Ve výchozím nastavení je ochrana mezi uživateli a jádrem pro CVE-2017-5715 zakázaná pro procesory AMD a ARM. Pokud chcete získat další ochranu pro CVE-2017-5715, musíte povolit zmírnění rizik. Další informace najdete v nejčastějších dotazech č. 15 v ADV180002 pro procesory AMD a v nejčastějších dotazech č. 20 v ADV180002 pro procesory ARM.
Povolte ochranu mezi uživatelem a jádrem na procesorech AMD a ARM společně s dalšími ochranou pro CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. |
Pokud chcete povolit zmírnění rizik pro CVE-2018-3639 (spekulativní obejití úložiště), výchozí zmírnění rizik pro CVE-2017-5715 (Spectre varianta 2) a CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. Poznámka: Procesory AMD nejsou ohroženy chybou CVE-2017-5754 (Meltdown). Tento klíč registru se používá v systémech s procesory AMD k povolení výchozího zmírnění rizik pro cve-2017-5715 u procesorů AMD a zmírnění rizik pro CVE-2018-3639. Zakázání zmírnění rizik pro cve-2018-3639 (spekulativní obejití úložiště) *a* pro CVE-2017-5715 (Spectre varianta 2) a CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. |
Ve výchozím nastavení je ochrana mezi uživateli a jádrem pro CVE-2017-5715 pro procesory AMD zakázaná. Zákazníci musí povolit zmírnění rizik, aby získali další ochranu pro CVE-2017-5715. Další informace najdete v nejčastějších dotazech č. 15 v ADV180002.
Povolení ochrany mezi uživateli a jádrem na procesorech AMD společně s dalšími ochranou pro CVE 2017-5715 a ochrany pro CVE-2018-3639 (Spekulativní obejití úložiště): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. |
Povolení zmírnění chyby zabezpečení v případě chyby zabezpečení z důvodu přerušení asynchronní transakce (CVE-2019-11135) a vzorkování dat mikroarchitectural (CVE-2019-201) 9-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) s variantami Spectre (CVE-2017-5753 & CVE-2017-5715) a Meltdown (CVE-2017-5754) včetně SSBD (Speculative Store Bypass Disable) (CVE-2018-3639) a chyby terminálu L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646) bez zakázání technologie Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny Virtual Machines. To umožňuje, aby se na hostiteli před spuštěním virtuálních počítačů použilo zmírnění rizik souvisejících s firmwarem. Proto se virtuální počítače po restartování také aktualizují. Restartujte zařízení, aby se změny projevily. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) se zakázaným Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Pokud je nainstalovaná funkce Hyper-V, přidejte následující nastavení registru: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Úplně vypněte všechny Virtual Machines. To umožňuje, aby se na hostiteli před spuštěním virtuálních počítačů použilo zmírnění rizik souvisejících s firmwarem. Proto se virtuální počítače po restartování také aktualizují. Restartujte zařízení, aby se změny projevily. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Restartujte zařízení, aby se změny projevily. |
Povolení zmírnění rizik pro CVE-2022-23825 na procesorech AMD :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Aby zákazníci mohli být plně chráněni, můžou také potřebovat zakázat Hyper-Threading (označované také jako SMT (Simultaneous Multi Threading). Pokyny k ochraně zařízení s Windows najdete v KB4073757.
Povolení zmírnění chyby CVE-2023-20569 na procesorech AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Povolení zmírnění chyby CVE-2022-0001 na procesorech Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Povolení několika zmírnění rizik
Pokud chcete povolit více zmírnění rizik, musíte přidat REG_DWORD hodnotu každého zmírnění rizik dohromady.
Například:
Zmírnění rizik chyby zabezpečení asynchronního přerušení transakcí, vzorkování mikroarchitekturálních dat, spectre, meltdown, MMIO, SSBD (Speculative Store Bypass Disable) a L1 Terminal Fault (L1TF) se zakázanými Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
POZNÁMKA 8264 (v desítkové soustavě) = 0x2048 (v šestnáctkovém formátu) Pokud chcete povolit BHI společně s dalšími existujícími nastaveními, budete muset použít bitový or aktuální hodnoty s hodnotou 8 388 608 (0x800000). 0x800000 OR 0x2048(8264 v desítkové soustavě) a stane se 8 396 872 (0x802048). Stejné jako u FeatureSettingsOverrideMask. |
|
Zmírnění chyby CVE-2022-0001 pro procesory Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Kombinované zmírnění rizik |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Zmírnění rizik chyby zabezpečení asynchronního přerušení transakcí, vzorkování mikroarchitekturálních dat, spectre, meltdown, MMIO, SSBD (Speculative Store Bypass Disable) a L1 Terminal Fault (L1TF) se zakázanými Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Zmírnění chyby CVE-2022-0001 pro procesory Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Kombinované zmírnění rizik |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Ověření povolení ochrany
Abychom vám pomohli ověřit, jestli je ochrana povolená, publikovali jsme skript PowerShellu, který můžete spustit na svých zařízeních. Nainstalujte a spusťte skript pomocí jedné z následujících metod.
Nainstalujte modul PowerShellu: PS> Install-Module SpeculationControl Spusťte modul PowerShellu a ověřte, že je povolená ochrana: PS> # Uložte aktuální zásady spouštění, aby bylo možné je resetovat. PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned –Scope Currentuser PS> Import-Module SpeculationControl ps> Get-SpeculationControlSettings PS> # Resetování zásad spouštění do původního stavu PS> Set-ExecutionPolicy $SaveExecutionPolicy –Scope Currentuser |
Nainstalujte modul PowerShellu z webu Technet ScriptCenter: Přejít na https://aka.ms/SpeculationControlPS Stáhněte SpeculationControl.zip do místní složky. Extrahujte obsah do místní složky, například C:\ADV180002 Spusťte modul PowerShellu a ověřte, že je povolená ochrana: Spusťte PowerShell, pak (pomocí předchozího příkladu) zkopírujte a spusťte následující příkazy: PS> # Uložte aktuální zásady spouštění, aby bylo možné je resetovat. PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned –Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 ps> Get-SpeculationControlSettings PS> # Resetování zásad spouštění do původního stavu PS> Set-ExecutionPolicy $SaveExecutionPolicy –Scope Currentuser |
Podrobné vysvětlení výstupu skriptu PowerShellu najdete v tématu KB4074629.
Nejčastější dotazy
Mikrokód se dodává prostřednictvím aktualizace firmwaru. Informace o dostupnosti příslušných aktualizací zabezpečení firmwaru pro konkrétní zařízení, včetně pokynů k revizi mikrokódu Společnosti Intel, byste měli zkontrolovat u svého procesoru (čipové sady) a výrobce zařízení.
Řešení ohrožení zabezpečení hardwaru prostřednictvím aktualizace softwaru představuje významné výzvy. Zmírnění rizik u starších operačních systémů také vyžadují rozsáhlé změny architektury. Spolupracujeme s výrobci čipů, kterých se to týká, abychom určili nejlepší způsob, jak poskytnout zmírnění rizik, která mohou být dodána v budoucích aktualizacích.
Aktualizace pro zařízení Microsoft Surface budou zákazníkům dodávány prostřednictvím služba Windows Update společně s aktualizacemi operačního systému Windows. Seznam dostupných aktualizací firmwaru zařízení Surface (mikrokódu) najdete v tématu KB4073065.
Pokud vaše zařízení nepochází od společnosti Microsoft, použijte firmware od výrobce zařízení. Další informace získáte od výrobce zařízení OEM.
V únoru a březnu 2018 microsoft vydal přidanou ochranu pro některé systémy založené na platformě x86. Další informace najdete v tématu KB4073757 a ADV180002 Rady microsoftu pro zabezpečení.
Aktualizace Windows 10 pro HoloLens jsou zákazníkům HoloLens k dispozici prostřednictvím služba Windows Update.
Po instalaci aktualizace Zabezpečení Windows z února 2018 nemusí zákazníci HoloLensu provádět žádné další akce k aktualizaci firmwaru zařízení. Tato zmírnění rizik budou také zahrnuta ve všech budoucích verzích Windows 10 pro HoloLens.
Ne. Pouze aktualizace zabezpečení nejsou kumulativní. V závislosti na verzi operačního systému, kterou používáte, budete muset instalovat každou měsíční aktualizaci pouze zabezpečení, aby byla chráněna před těmito chybami zabezpečení. Pokud například používáte Windows 7 pro 32bitové systémy na procesoru Intel, který se týká, musíte nainstalovat všechny aktualizace pouze zabezpečení. Doporučujeme instalovat pouze tyto aktualizace zabezpečení v pořadí podle vydání.
Poznámka V dřívější verzi těchto nejčastějších dotazů bylo nesprávně uvedeno, že únorová aktualizace zabezpečení obsahuje opravy zabezpečení vydané v lednu. Ve skutečnosti ne.
Ne. Aktualizace zabezpečení 4078130 byla specifická oprava, která zabránila nepředvídatelnému chování systému, problémům s výkonem nebo neočekávaným restartováním po instalaci mikrokódu. Použití únorových aktualizací zabezpečení v klientských operačních systémech Windows umožňuje všechna tři zmírnění rizik.
Společnost Intel nedávno oznámila, že dokončila ověření a začala vydávat mikrokód pro novější procesorové platformy. Společnost Microsoft zpřístupňuje aktualizace mikrokódu ověřené společností Intel v oblasti spectre varianty 2 (CVE-2017-5715 "Injektáž cíle větve"). KB4093836 uvádí seznam konkrétních článků znalostní báze Knowledge Base podle verze Windows. Každý konkrétní článek KB obsahuje dostupné aktualizace mikrokódů od společnosti Intel podle procesoru.
Tento problém byl vyřešen v KB4093118.
Společnost AMD nedávno oznámila, že začala vydávat mikrokód pro novější platformy procesoru v případě spectre varianty 2 (CVE-2017-5715 "Injektáž cíle větve"). Další informace najdete v dokumentech AMD Security Aktualizace a AMD White paper: Architecture Guidelines (Pokyny pro architekturu týkající se nepřímého řízení větví). Ty jsou k dispozici v kanálu firmwaru OEM.
Zpřístupňujeme aktualizace mikrokódu ověřené technologií Intel v oblasti spectre varianty 2 (CVE-2017-5715 "Injektáž cíle větve"). Aby zákazníci mohli prostřednictvím služba Windows Update získat nejnovější aktualizace mikrokódu Intel, musí mít před upgradem na aktualizaci Windows 10. dubna 2018 (verze 1803) nainstalovaný mikrokód Intel na zařízeních s operačním systémem Windows 10.
Aktualizace mikrokódu je také k dispozici přímo z katalogu, pokud nebyl mikrokód na zařízení nainstalovaný před upgradem operačního systému. Mikrokód Intel je k dispozici prostřednictvím služba Windows Update, WSUS nebo Katalogu služby Microsoft Update. Další informace a pokyny ke stažení najdete v tématu KB4100347.
Další informace najdete v následujících zdrojích informací:
Podrobnosti najdete v částech Doporučené akce a Nejčastější dotazy v ADV180012 | Pokyny Microsoftu k spekulativnímu obejití obchodu
Aby bylo možné ověřit stav SSBD, aktualizoval se skript powershellu Get-SpeculationControlSettings, aby zjistil ovlivněné procesory, stav aktualizací operačního systému SSBD a stav mikrokódu procesoru, pokud je to možné. Další informace a informace o získání skriptu PowerShellu najdete v tématu KB4074629.
13. června 2018 byla oznámena další chyba zabezpečení týkající se spekulativního spuštění postranním kanálem, která se označuje jako lazy FP State Restore, a byla jí přiřazena cve-2018-3665. Pro opožděné obnovení obnovení FP není nutné žádné nastavení konfigurace (registru).
Další informace o této chybě zabezpečení a doporučených akcích najdete v článku Rady k zabezpečení ADV180016 | Pokyny Microsoftu pro opožděné obnovení stavu FP
Poznámka: Pro opožděné obnovení obnovení FP není nutné žádné nastavení konfigurace (registru).
10. července 2018 byla zveřejněna funkce Bounds Check Bypass Store (BCBS) a přiřazena cve-2018-3693. Považujeme BCBS za patřící do stejné třídy ohrožení zabezpečení jako bypass hraniční kontroly (varianta 1). V současné době nevíme o žádných instancích BCBS v našem softwaru, ale pokračujeme ve výzkumu této třídy ohrožení zabezpečení a budeme spolupracovat s partnery v oboru, aby podle potřeby uvolnili zmírnění rizik. Nadále vyzýváme výzkumné pracovníky, aby předložili veškerá relevantní zjištění do programu odměny pro spekulativní spuštění postranního kanálu microsoftu, včetně všech zneužitelných instancí BCBS. Vývojáři softwaru by si měli projít pokyny pro vývojáře, které byly aktualizovány pro BCBS na https://aka.ms/sescdevguide.
14. srpna 2018 byla oznámena chyba terminálu L1 (L1TF) a přiřazena více cve. Tato nová ohrožení zabezpečení proti spekulativnímu spuštění postranním kanálem lze použít ke čtení obsahu paměti přes důvěryhodnou hranici a v případě zneužití může vést ke zpřístupnění informací. Útočník by mohl aktivovat ohrožení zabezpečení prostřednictvím více vektorů v závislosti na nakonfigurovaných prostředích. L1TF ovlivňuje procesory Intel® Core a Intel® Xeon®®.
Další informace o této chybě zabezpečení a podrobné zobrazení ovlivněných scénářů, včetně přístupu Microsoftu ke zmírnění rizika L1TF, najdete v následujících zdrojích informací:
Zákazníci, kteří používají 64bitové procesory ARM, by měli požádat výrobce OEM zařízení o podporu firmwaru, protože ochrana operačního systému ARM64 zmírňují chybu CVE-2017-5715 | Injektáž cíle větve (Spectre, varianta 2) vyžaduje nejnovější aktualizaci firmwaru od OEM zařízení, aby se projevila.
Další informace najdete v následujících informačních zpravodajích pro zabezpečení.
Další informace najdete v následujících informačních zpravodajích pro zabezpečení.
Pokud chcete chránit před chybami zabezpečení proti spekulativnímu spuštění postranním kanálem, projděte si doprovodné materiály v doprovodných materiálech pro Windows.
Doprovodné materiály k Azure najdete v tomto článku: Pokyny ke zmírnění ohrožení zabezpečení spekulativního spouštění postranním kanálem v Azure.
Další informace o povolení Retpoline najdete v našem blogovém příspěvku: Zmírnění rizik spectre varianty 2 pomocí Retpoline ve Windows.
Podrobnosti o této chybě zabezpečení najdete v Průvodci zabezpečením společnosti Microsoft: CVE-2019-1125 | Ohrožení zabezpečení spočívající ve zpřístupnění informací o jádru systému Windows
Nejsme si vědomi žádného výskytu této chyby zabezpečení zpřístupnění informací, která by ovlivnila naši infrastrukturu cloudových služeb.
Jakmile jsme se o tomto problému dozvěděli, rychle jsme pracovali na jeho řešení a vydání aktualizace. Pevně věříme v úzká partnerství s výzkumnými pracovníky i partnery z oboru, aby se zákazníci více zabezpečili, a v souladu s koordinovanými postupy zveřejňování ohrožení zabezpečení jsme podrobnosti publikovali až v úterý 6. srpna.
Další pokyny najdete v tématu Pokyny k zakázání® funkce Intel Transactional Synchronization Extensions (Intel® TSX).
Reference
Poskytujeme kontaktní informace třetích stran, které vám pomůžou najít technickou podporu. Tyto kontaktní informace se můžou bez upozornění změnit. Nezaručujeme přesnost těchto kontaktních informací třetích stran.